Législation et réglementation

Le RGPD, ou Règlement Général sur la Protection des Données (en anglais : GDPR – General Data Protection Regulation), est la législation européenne sur la vie privée en vigueur depuis le 25 mai 2018. Ce règlement s’applique à toute organisation qui traite des données personnelles de personnes situées dans l’Union européenne, quel que soit le pays où se trouve l’entreprise. Pour les entreprises, le RGPD est essentiel car il impose des règles claires sur la manière dont les données personnelles doivent être utilisées, dans le but de mieux protéger la vie privée des citoyens. Les entreprises doivent faire preuve de transparence quant à l’utilisation des données, mettre en place des mesures de sécurité appropriées et peuvent se voir infliger des amendes élevées en cas de non-respect. En Belgique, cela signifie également que les entreprises doivent se conformer aux directives spécifiques de l’Autorité de protection des données (APD), qui veille à l’application du RGPD.

Selon le RGPD, les données personnelles sont toutes les informations qui concernent une personne physique identifiée ou identifiable. Cela inclut donc toute information permettant d’identifier directement ou indirectement une personne. Il peut s’agir de noms, adresses, numéros de téléphone, adresses e-mail, adresses IP, données de localisation et même de données d’entreprise si elles sont liées à une personne, comme le nom d’un gérant dans une entreprise individuelle. Le RGPD distingue également des catégories particulières de données personnelles, telles que les données relatives à la santé, la religion, l’origine ethnique ou les opinions politiques. Ces données sont considérées comme sensibles et ne peuvent être traitées que dans des conditions strictes.

Le traitement de données personnelles, selon le RGPD, désigne toute opération ou ensemble d’opérations effectuées sur des données personnelles, que ce soit de manière automatisée ou non. Le concept est volontairement défini de façon large. Il englobe non seulement la collecte ou le stockage des données, mais aussi leur consultation, utilisation, modification, transmission, combinaison, suppression ou même simplement leur conservation. Presque toute action menée par une organisation sur des données personnelles est donc considérée comme un traitement. Cela signifie par exemple que la gestion d’un fichier client, l’envoi de newsletters ou l’analyse du comportement sur un site web relèvent tous du traitement au sens du RGPD.

Le RGPD est le règlement européen principal en matière de protection des données personnelles, applicable dans tous les États membres de l’UE. En Belgique, ce règlement est complété par la Loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel, également appelée LVP. Cette loi nationale précise certains aspects du RGPD pour la Belgique. Elle définit notamment les missions et pouvoirs de l’Autorité de protection des données (APD) et introduit des obligations supplémentaires, par exemple en matière de vidéosurveillance ou de traitement de données sensibles. Pour les entreprises belges, cela signifie qu’elles doivent non seulement respecter le RGPD, mais aussi prendre en compte les dispositions spécifiques de la loi belge.

L’intérêt légitime est l’un des six fondements juridiques prévus par le RGPD pour permettre le traitement de données personnelles. Dans le contexte B2B, cette base est fréquemment utilisée, par exemple pour le marketing direct, la gestion des relations clients ou la sécurisation des systèmes informatiques. Cela signifie que vous avez un intérêt clair à traiter certaines données, que ce traitement est nécessaire à cet intérêt, et que les droits à la vie privée de la personne concernée ne prévalent pas sur cet intérêt. En tant qu’entreprise B2B, vous devez être en mesure de démontrer cet intérêt et de justifier pourquoi le traitement est proportionné. Cela passe par une évaluation d’intérêt légitime (balancing test). Attention : l’intérêt légitime ne dispense pas du respect des principes fondamentaux du RGPD, comme la transparence et le respect des droits des personnes concernées.

Vous êtes considéré comme responsable du traitement au sens du RGPD dès lors que votre organisation détermine la finalité et les moyens du traitement de données à caractère personnel. Cela signifie que vous décidez pourquoi et comment les données sont collectées, stockées ou utilisées. Cela s’applique aussi bien aux traitements internes, comme les données RH des employés, qu’aux traitements externes tels que les données clients ou prospects dans un CRM. En pratique, la plupart des organisations belges qui traitent des données personnelles sont responsables du traitement, qu’elles opèrent en B2B ou en B2C. Même si vous collaborez avec une partie externe, par exemple pour l’IT ou le marketing, vous restez généralement le principal responsable des données traitées pour le compte de votre organisation.

Un sous-traitant est une organisation ou une personne qui traite des données personnelles pour le compte d’un responsable du traitement. Vous êtes donc sous-traitant lorsque vous ne décidez pas vous-même des finalités du traitement, mais que vous agissez uniquement sur instruction d’un tiers. Cela concerne par exemple les agences marketing, les fournisseurs de logiciels, les hébergeurs cloud ou les centres d’appel qui traitent des données pour leurs clients. En tant que sous-traitant, vous ne pouvez traiter les données que dans le cadre strict des instructions reçues. Le RGPD impose qu’un contrat de sous-traitance soit établi entre le sous-traitant et le responsable du traitement, incluant notamment des clauses relatives à la sécurité, à la confidentialité et à la gestion des violations de données.

L’Autorité de protection des données (APD) est l’organisme officiel de contrôle de la vie privée et de la protection des données en Belgique. Elle veille à ce que les organisations respectent les règles du RGPD et la législation belge sur la vie privée. L’APD est habilitée à traiter les plaintes des citoyens, à réaliser des contrôles, à émettre des recommandations, et à infliger des sanctions ou des amendes si nécessaire. Elle joue également un rôle d’information en publiant des lignes directrices, des conseils pratiques et des outils destinés à aider les entreprises à gérer correctement les données personnelles. Il est fortement conseillé aux organisations belges de suivre attentivement les recommandations de l’APD, surtout en cas de doute sur l’interprétation du RGPD dans des situations spécifiques.

Lorsque deux ou plusieurs organisations déterminent ensemble la finalité et les moyens du traitement des données personnelles, elles sont considérées comme coresponsables du traitement selon le RGPD. Dans ce cas, elles doivent conclure entre elles des accords clairs sur la répartition des responsabilités, notamment en ce qui concerne la communication avec les personnes concernées, le traitement des demandes et la notification des violations de données. Ces accords doivent être formalisés par écrit dans une convention conjointe. Néanmoins, chaque partie reste individuellement responsable vis-à-vis de la personne concernée. La transparence reste essentielle : les personnes concernées doivent pouvoir facilement savoir qui est responsable de quoi dans le cadre du traitement partagé.

Un contrat de sous-traitance est obligatoire dès qu’une organisation fait appel à un prestataire externe pour traiter des données personnelles. Conformément au RGPD, ce contrat doit comporter un certain nombre d’éléments essentiels. Il doit préciser quelles données sont traitées, dans quel but, selon quelles instructions, et pour quelle durée. Il doit également définir les mesures de sécurité à mettre en œuvre, les engagements de confidentialité, les conditions relatives aux sous-traitants ultérieurs, les procédures en cas de violation de données, les modalités d’assistance en cas de demande des personnes concernées, ainsi que les dispositions concernant la suppression ou la restitution des données à la fin du contrat. Sans un tel contrat, le traitement est considéré comme illégal, ce qui peut entraîner de lourdes conséquences juridiques et financières.

Le RGPD prévoit six bases légales sur lesquelles une organisation peut s’appuyer pour traiter des données personnelles. Les plus courantes sont le consentement de la personne concernée, l’exécution d’un contrat et le respect d’une obligation légale. Les autres fondements possibles sont la protection des intérêts vitaux, l’exécution d’une mission d’intérêt public, et l’intérêt légitime de l’organisation. Chaque traitement doit reposer sur au moins un de ces fondements. Il est donc interdit de collecter ou d’utiliser des données sans raison valable. En tant qu’organisation, vous devez en outre pouvoir justifier et documenter la base légale choisie, par exemple dans votre registre des traitements.

Le RGPD confère aux personnes concernées une série de droits leur permettant de garder le contrôle sur leurs données personnelles. Elles disposent notamment du droit à l’information, du droit d’accès à leurs données, du droit de rectification, et du droit à l’effacement – également appelé droit à l’oubli. Elles peuvent aussi demander la limitation du traitement, s’opposer à certains traitements, ou demander le transfert de leurs données vers un autre responsable (portabilité des données). Dans certains cas, elles peuvent également s’opposer à un traitement automatisé ou à la profilage. En tant qu’organisation, vous êtes tenu de répondre à ces demandes de manière rapide et appropriée. Vous devez informer clairement les personnes concernées de leurs droits, notamment via votre politique de confidentialité.

Oui, selon le RGPD, vous avez l’obligation d’informer clairement les personnes concernées sur le traitement de leurs données personnelles. Vous devez expliquer quelles données sont collectées, dans quel but, sur quelle base légale, pendant combien de temps elles seront conservées, et avec qui elles peuvent être partagées. Ces informations doivent être présentées de manière transparente, compréhensible et facilement accessible – souvent via une déclaration de confidentialité sur votre site web. Même si vous avez obtenu les données indirectement (par exemple via un courtier en données ou une source publique), vous devez informer la personne concernée dans un délai raisonnable. La transparence est un principe fondamental du RGPD et essentielle pour instaurer la confiance.

Lorsqu’une personne exerce ses droits au titre du RGPD, comme le droit d’accès, de rectification ou d’effacement, votre organisation doit réagir rapidement et avec rigueur. En principe, vous disposez d’un délai d’un mois pour traiter la demande. Il est nécessaire de vérifier l’identité du demandeur, d’évaluer si la demande est recevable, puis de procéder à l’action demandée ou de justifier pourquoi cela n’est pas possible. Il est fortement conseillé de mettre en place un processus interne ou un point de contact dédié pour gérer ce type de demande. Une procédure claire et bien organisée vous aidera à respecter vos obligations et à éviter des plaintes auprès de l’autorité de contrôle.

Le profilage est autorisé dans le cadre du RGPD, y compris en contexte B2B, à condition de respecter les règles relatives à la transparence, aux bases légales et aux droits des personnes concernées. Le profilage consiste à créer automatiquement un profil à partir de données personnelles, par exemple pour estimer le comportement d’achat ou les centres d’intérêt d’un contact. Cela n’est possible que si vous disposez d’une base juridique valable, comme un intérêt légitime ou un consentement explicite. Vous devez informer clairement les personnes concernées du fait qu’un profilage est effectué et leur offrir la possibilité de s’y opposer. Il est interdit d’utiliser des données sensibles sans justification spécifique, et le profilage ne peut jamais entraîner des conséquences discriminatoires ou injustes.

Un consentement n’est valable selon le RGPD que s’il est donné de manière libre, spécifique, éclairée et sans ambiguïté. En B2B, cela signifie par exemple que vous ne pouvez pas précocher une case sur un formulaire, et que le destinataire doit comprendre clairement à quoi il consent. Le consentement doit également être démontrable : vous devez être en mesure de prouver que la personne a donné son accord en toute connaissance de cause pour le traitement de ses données. Cette exigence s’applique aussi au marketing direct adressé à des adresses e-mail professionnelles de personnes physiques, comme les indépendants ou les salariés. N’oubliez pas que le consentement doit toujours pouvoir être retiré, sans conséquences négatives pour la personne concernée.

Le RGPD ne fixe pas de durée de conservation précise pour les données personnelles, mais stipule que les données ne peuvent être conservées plus longtemps que nécessaire à la finalité pour laquelle elles ont été collectées. Une fois cet objectif atteint, les données doivent être supprimées ou rendues anonymes. Ce qui est considéré comme “nécessaire” dépend de la nature du traitement et d’éventuelles obligations légales, comme les délais de conservation fiscaux ou sociaux. Il est important que chaque organisation définisse ses propres délais, les documente dans le registre des traitements et en informe les personnes concernées via la politique de confidentialité.

L’obligation de documentation, aussi appelée principe de responsabilité, signifie que toute organisation doit pouvoir démontrer qu’elle respecte les règles du RGPD. Le cœur de cette obligation est le registre des traitements, dans lequel vous devez répertorier toutes les opérations de traitement : quelles données sont traitées, à quelles fins, sur quelle base légale, qui y a accès, pendant combien de temps elles sont conservées et quelles mesures de sécurité sont mises en place. En plus de ce registre, vous devez conserver d’autres documents essentiels comme les contrats de sous-traitance, les procédures en cas de violation de données, ou encore les analyses d’impact (DPIA) effectuées. Sans documentation adéquate, vous courez un risque élevé en cas de contrôle.

Une DPIA (Data Protection Impact Assessment) est une analyse de risques que vous devez effectuer lorsqu’un traitement présente probablement un risque élevé pour les droits et libertés des personnes concernées. Le RGPD impose cette évaluation, par exemple, en cas de traitement à grande échelle de données sensibles, de surveillance systématique ou de profilage. Dans certains secteurs, comme le marketing, les soins de santé ou les ressources humaines, une DPIA peut aussi être obligatoire. En Belgique, l’Autorité de protection des données (APD) fournit une liste des cas où une DPIA est requise. Elle permet d’identifier les risques à l’avance et de prendre des mesures préventives adaptées.

Pour être conforme au RGPD, votre organisation doit combiner des mesures juridiques, techniques et organisationnelles. Commencez par dresser un registre de tous les traitements de données. Ensuite, rédigez une politique de confidentialité claire, informez correctement les personnes concernées, signez des contrats de sous-traitance avec les prestataires et mettez en place des mesures de sécurité. Vous devez également gérer les demandes d’accès aux données, réagir aux violations et, si nécessaire, désigner un DPO (Délégué à la protection des données). La conformité RGPD n’est pas une tâche ponctuelle, mais un processus continu de suivi, d’ajustement et de transparence.

Le non-respect du RGPD peut entraîner des sanctions de l’autorité de contrôle – en Belgique, il s’agit de l’Autorité de protection des données (APD). Celle-ci peut émettre des avertissements, imposer des mesures correctives ou infliger des amendes. Les amendes peuvent aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, selon le montant le plus élevé. En plus des amendes, une non-conformité peut entraîner une perte de confiance, des atteintes à la réputation, voire des poursuites civiles. Même les petites entreprises et PME belges peuvent être contrôlées ou sanctionnées si elles ne traitent pas les données de manière adéquate ou ne disposent pas de sécurités suffisantes.

Un DPO (Data Protection Officer), ou Délégué à la protection des données (DPD), est une personne désignée au sein ou en dehors de votre organisation pour veiller au respect du RGPD. Vous êtes obligé de nommer un DPO si vous traitez à grande échelle des données sensibles, si vous surveillez systématiquement des personnes (par exemple via du profilage), ou si vous êtes un organisme public. En Belgique, cette obligation s’applique notamment aux hôpitaux, compagnies d’assurance ou établissements d’enseignement. Même si ce n’est pas obligatoire, désigner un DPO peut être judicieux pour mieux gérer les risques et professionnaliser votre conformité. N’oubliez pas d’enregistrer votre DPO auprès de l’APD.

Une violation de données a lieu lorsqu’il y a perte, accès non autorisé ou exposition involontaire de données personnelles à des tiers. Cela peut résulter d’un piratage, de la perte d’un ordinateur portable ou d’une clé USB, de l’envoi d’un e-mail à la mauvaise personne ou d’une erreur humaine. Dès qu’une violation est détectée, vous devez la documenter et, si elle représente un risque pour les droits des personnes concernées, la déclarer à l’APD dans un délai de 72 heures. Dans certains cas, vous devez également informer directement les personnes concernées. Il est essentiel de disposer en interne d’une procédure claire pour gérer les violations, avec des responsabilités bien définies.

Un incident de sécurité est un terme plus large qui désigne toute défaillance ou perturbation dans la sécurité des systèmes informatiques. Ce n’est pas toujours une violation de données. Il y a violation de données uniquement si des données personnelles ont été compromises et qu’il existe un risque pour la vie privée des individus. Par exemple, si un serveur interne tombe temporairement en panne sans perte ni accès non autorisé aux données, il s’agit d’un incident de sécurité, pas d’une violation de données. C’est uniquement en cas d’accès ou de perte de données personnelles qu’une évaluation de la nécessité de notification doit être effectuée.

Pour déclarer une violation de données en Belgique, vous devez utiliser le formulaire en ligne mis à disposition par l’Autorité de protection des données (APD). Vous devez y fournir des informations sur la nature de la violation, les types de données concernées, les conséquences potentielles pour les personnes, les mesures prises et les actions correctives mises en place. La déclaration doit être aussi complète que possible et effectuée dans les 72 heures suivant la découverte de la violation. Si vous obtenez de nouvelles informations par la suite, vous pouvez mettre à jour votre déclaration. Assurez-vous que votre organisation dispose d’un processus interne structuré pour identifier et signaler rapidement les violations.

Le RGPD n’impose pas de liste fixe de mesures, mais exige la mise en œuvre de mesures techniques et organisationnelles appropriées, en fonction des types de données traitées et des risques identifiés. Pour les PME belges, cela signifie au minimum l’utilisation de mots de passe robustes, le chiffrement des données sensibles, une gestion des accès, des mises à jour régulières des logiciels et des sauvegardes sécurisées. Il est aussi essentiel de former le personnel à la protection des données et d’instaurer des procédures claires pour signaler les violations. L’APD évalue principalement si les mesures prises sont proportionnées et bien documentées. Un plan de sécurité formalisé est donc indispensable.

Selon le RGPD, une politique de confidentialité doit être claire, compréhensible et complète. Elle doit expliquer quelles données personnelles sont collectées, dans quel but, sur quelle base légale, et pendant combien de temps elles seront conservées. Vous devez également y indiquer avec qui les données sont partagées, si elles sont transférées vers des pays tiers en dehors de l’Union européenne, quels sont les droits des personnes concernées (comme le droit d’accès, de rectification et de suppression), et comment elles peuvent exercer ces droits. Les coordonnées de votre organisation ainsi que, le cas échéant, celles de votre DPO (délégué à la protection des données) doivent aussi y figurer. La politique de confidentialité doit être facilement accessible, par exemple sur votre site web ou dès le premier contact avec la personne concernée.

Une bonne politique de confidentialité interne commence par un inventaire clair des données personnelles traitées, les raisons de ce traitement et les personnes au sein de l’entreprise ayant accès à ces données. Vous devez ensuite définir les procédures de sécurisation des données, la manière dont vous traitez les demandes des personnes concernées, ainsi que les étapes à suivre en cas de violation de données. La politique doit également inclure des règles sur les durées de conservation, les relations avec les sous-traitants, et, si nécessaire, l’obligation de réaliser des analyses d’impact (DPIA). Pour les PME en Belgique, il peut être utile d’utiliser un modèle comme base, à adapter au secteur et à la taille de l’entreprise. Assurez-vous d’impliquer toutes les équipes concernées pour garantir une politique à la fois réaliste et à jour.

Vous êtes tenu de maintenir votre registre des traitements et votre documentation RGPD à jour en permanence. La législation ne prévoit pas de fréquence précise, mais en pratique, cela signifie que vous devez mettre à jour vos documents à chaque fois qu’un traitement change. Par exemple, lors du lancement d’une nouvelle campagne marketing, de l’intégration d’un nouveau logiciel CRM, ou de la conclusion d’un contrat avec un nouveau sous-traitant. Il est également recommandé de réviser au moins une fois par an votre registre et votre politique de confidentialité. Cela vous permet de rester conforme aux exigences légales et d’être prêt en cas de contrôle par l’Autorité de protection des données.

Oui, le RGPD s’applique également au secteur B2B en Belgique. Le règlement ne fait aucune distinction entre le B2B et le B2C : dès que vous traitez des données personnelles de personnes physiques, comme les noms, adresses e-mail ou numéros de téléphone de collaborateurs, représentants ou travailleurs indépendants, le RGPD entre en vigueur. En pratique, cela signifie que les bases de données professionnelles, les systèmes CRM et les campagnes par e-mail doivent également respecter les règles de transparence, les fondements juridiques du traitement et les obligations en matière de sécurité. Même si vous ne travaillez qu’avec des données d’entreprise, vous devez vérifier si celles-ci contiennent des données personnelles. Si c’est le cas, le RGPD s’applique.

En Belgique, l’email marketing est soumis à la fois au RGPD et à la loi sur les communications électroniques. Selon le RGPD, vous devez disposer d’une base légale valable pour traiter les données personnelles, comme l’intérêt légitime ou le consentement explicite, en particulier lorsqu’il s’agit de personnes physiques comme des indépendants ou des salariés. La loi belge exige en outre que vous n’envoyiez des emails commerciaux qu’avec le consentement préalable du destinataire, sauf si vous avez une relation client existante et que vous ne proposez que vos propres produits ou services similaires. Dans tous les cas, vous devez être transparent, fournir une option de désinscription claire et expliquer votre traitement dans votre politique de confidentialité. Même dans un contexte B2B, la prudence reste de mise.

Lorsque vous faites de la publicité sur les réseaux sociaux comme LinkedIn et que vous utilisez des données personnelles, par exemple via des listes de remarketing ou l’importation de fichiers clients, ces traitements sont soumis aux règles du RGPD. Vous devez alors avoir un fondement juridique clair, comme le consentement ou l’intérêt légitime. Il est également obligatoire d’informer les personnes concernées sur l’usage de leurs données, par exemple via votre politique de confidentialité. Si vous importez une liste d’adresses e-mail pour créer une audience, vous devez pouvoir prouver que les données ont été collectées et utilisées de manière légale. Enfin, vous êtes considéré comme coresponsable du traitement avec la plateforme sociale, ce qui signifie que des accords doivent être établis autour de cette responsabilité partagée (joint controllership).

En Belgique, le télémarketing B2B est régi par le RGPD ainsi que par la loi belge sur les télécommunications. Le RGPD s’applique dès que vous utilisez des données personnelles, comme les noms ou numéros directs de contacts professionnels. Vous devez disposer d’une base légale valable, comme l’intérêt légitime, et informer les personnes concernées via votre politique de confidentialité. La loi interdit les appels commerciaux non sollicités vers des personnes physiques, telles que des indépendants, professions libérales ou associés, sauf si vous avez obtenu leur consentement préalable ou si une relation commerciale existe déjà. Les personnes morales comme les SA ou SRL ne sont pas couvertes par cette interdiction, mais vous devez tout de même agir avec prudence. En outre, il est obligatoire de consulter la liste “Ne m’appelez plus” avant chaque campagne. Lors de chaque appel, vous devez vous identifier clairement, expliquer l’objet de l’appel et offrir la possibilité de s’opposer à tout contact ultérieur. Veillez à ce que vos listes d’appels soient à jour et que vos pratiques soient conformes aux principes de transparence et de minimisation des données.

Pour être conforme au RGPD lors de la collecte de données personnelles sur votre site web, vous devez informer clairement les visiteurs sur les données que vous collectez, les raisons du traitement, et la durée de conservation. Cela s’applique aux formulaires de contact, aux inscriptions à la newsletter, aux modules de chat ou aux outils comme Google Analytics ou Hotjar. Vous devez obtenir le consentement explicite pour l’utilisation de cookies non essentiels ou de technologies de suivi, et offrir aux utilisateurs la possibilité de gérer leurs préférences. Votre politique de confidentialité doit être facilement accessible, et vous devez veiller à ce que les données soient transmises de manière sécurisée, par exemple via un certificat HTTPS. Si vous enregistrez des adresses IP ou des comportements de navigation, cela entre également dans le champ d’application du RGPD.

La responsabilité en chaîne dans le cadre du RGPD signifie que votre organisation n’est pas seulement responsable de ses propres traitements de données, mais aussi de la manière dont vos partenaires, fournisseurs ou sous-traitants traitent les données personnelles que vous leur confiez. En contexte B2B, cela est particulièrement pertinent, car les collaborations avec des tiers tels que des prestataires CRM, agences marketing ou fournisseurs informatiques sont fréquentes. En tant que responsable du traitement, vous devez impérativement obtenir des garanties appropriées via des contrats de sous-traitance, dans lesquels sont fixées des règles claires en matière de sécurité, de confidentialité, de respect des droits des personnes concernées et de gestion des violations de données. Vous devez également vérifier que l’ensemble de la chaîne respecte les exigences du RGPD, notamment en cas de transferts à des partenaires ou sous-traitants successifs.

Si vous proposez des produits ou services à des clients situés en dehors de l’Union européenne, vous devez veiller à respecter le RGPD lors du traitement des données personnelles de citoyens européens. Le RGPD reste applicable dès lors que vous traitez des données de personnes situées dans l’UE, même si votre entreprise est établie hors UE ou collabore avec des clients situés dans des pays tiers. Si vous traitez des données de clients situés, par exemple, aux États-Unis ou en Asie, vous devez être particulièrement attentif à la sécurité des données et à la base légale des transferts. Vous ne pouvez transférer des données personnelles qu’à des pays offrant un niveau de protection adéquat, ou via des mécanismes reconnus comme les clauses contractuelles types (SCC) ou les règles d’entreprise contraignantes (BCR).

Oui, vous pouvez stocker des données personnelles dans le cloud ou dans des pays en dehors de l’UE, à condition d’assurer des garanties suffisantes. Le RGPD exige que les données ne soient transférées qu’à des pays qui offrent un niveau de protection équivalent à celui de l’Union européenne. Pour les pays situés en dehors de l’Espace économique européen (EEE), vous devez vérifier si un décision d’adéquation a été adoptée par la Commission européenne. En l’absence d’un tel accord, vous devrez mettre en place des mesures supplémentaires, comme les clauses contractuelles types ou des clauses spécifiques négociées. Si vous utilisez des services cloud comme Amazon Web Services, Google Cloud ou Microsoft Azure, il est crucial de vérifier si les données sont stockées ou traitées aux États-Unis ou dans d'autres pays tiers. Ces pratiques doivent également être décrites dans votre politique de confidentialité.

Si votre sous-traitant est basé en dehors de l’Union européenne, vous devez prendre des mesures juridiques et techniques supplémentaires pour garantir la conformité au RGPD. Commencez par vérifier si le pays en question dispose d’une décision d’adéquation de la part de la Commission européenne. Si ce n’est pas le cas, vous devrez recourir à des clauses contractuelles types (SCC) ou à d’autres garanties reconnues. Ces obligations doivent être formalisées dans un contrat de sous-traitance, incluant des dispositions sur la sécurité des données, la gestion des violations de données et la sous-traitance secondaire. Il est également important d’évaluer si la législation du pays du sous-traitant présente un risque pour la protection des données personnelles. Enfin, vous êtes tenu d’informer vos clients ou les personnes concernées du transfert international de leurs données et de leur permettre d’exercer leurs droits en conséquence.